Drei bewährte Verfahren für das Patch-Management in Linux
Beim Patchen von Desktops gibt es zwischen den Systemen nur wenige Unterschiede. Dennoch gibt es eigene Best Practices für das Linux-Patch-Management, die Admins kennen sollten.
Windows-Systeme sind berüchtigt dafür, dass sie häufige Patches benötigen. Doch bei Linux kann sich das Patch-Management noch komplexer gestalten. Das liegt daran, dass Linux in vielen verschiedenen Distributionen erhältlich ist.
Für die meisten Administratoren ist das Patchen von Desktops nur eine lästige Routinearbeit. Da aber immer mehr Unternehmen mit mehreren verschiedenen Betriebssystemen arbeiten, sollten alle Desktop-Administratoren sich mit der Vorgehensweise beim Patchen von Linux-Systemen befassen. Das gilt auch dann, wenn der Fokus im Unternehmen eigentlich auf Windows liegt.
Zum Glück gibt es diverse Tools und Ressourcen, die Administratoren dabei helfen, sich mit dem Thema zu beschäftigen und mehr darüber zu lernen. Systemadministratoren sollten die nachfolgenden Best Practices für Linux-Patch-Management lernen, bevor sie Wartungsarbeiten an Linux-Systemen durchführen.
Zu patchende Linux-Systeme und deren Versionen identifizieren
Ganz oberflächlich betrachtet unterscheiden sich die Best Practices für Linux beim Patch-Management nicht so stark von denen für Windows. In einem ersten Schritt sollten Sie herausfinden, welche Linux-Systeme überhaupt einen Patch benötigen. Danach laden Sie die Patches bei den jeweiligen Distributoren herunter und spielen sie auf. So einfach die Theorie, doch in der Praxis stoßen Admins häufig auf Probleme.
Jeder Anbieter stellt nämlich eigene Patches zur Verfügung und die Patches für eine bestimmte Distribution funktionieren nicht mit anderen. Äquivalent dazu funktionieren Patches nur mit bestimmten Versionen der Betriebssysteme. Deswegen müssen die Systemadministratoren sicherstellen, dass sie die Patches auf den richtigen Versionen installieren.
Linux-Patching-Tools mit nativer Unterstützung wählen
Das Patch-Management in Linux wird erheblich einfacher, wenn Sie ein Linux-Patching-Tool verwenden und zwar am besten eines, das zu Ihren Distributionen passt. Jeder Linux-Distributor und somit jede Linux-Distribution hat eine eigene Methode, um Patches einzuspielen. Bei den am häufigsten eingesetzten Linux-Distributionen gibt es Gemeinsamkeiten, aber der Teufel steckt hier im Detail.
Zum Beispiel bietet Red Hat (Red Hat Enterprise Linux, RHEL) Live-Kernel-Patching unter dem Namen Kpatch an. Kpatch ist auf GitHub verfügbar und funktioniert auch mit anderen Linux-Distributionen wie zum Beispiel Fedora, Ubuntu und Debian. Canonical verfügt mit Livepatch für Ubuntu ebenfalls über ein Live-Patch-Management und bietet dieses für den persönlichen Gebrauch kostenlos an. Nicht zuletzt hat Debian ein einfaches Patch-Management namens UnattendedUpgrades bereits an Bord.
Wie der Dokumentation von Kpatch zu entnehmen ist, ist der Einsatz von Patch-Management-Tools mit Linux nicht ganz ungefährlich und es kann zu Kernel-Abstürzen, spontanem Neustart und Datenverlusten kommen. Um das zu verhindern, können Sie entweder darauf achten, nur native Tools zu verwenden, die von einem bestimmten Linux-Distributor unterstützt werden, wie Kpatch für Red Hat. Die andere Option ist ein Patch-Managementprogramm eines Drittanbieters. Beispiele an dieser Stelle wären Automox, ManageEngine Desktop Central oder GFI LanGuard.
Das Patch-Management in Linux wird erheblich einfacher, wenn Sie ein Linux-Patching-Tool verwenden und zwar am besten eines, das zu Ihren Distributionen passt.
Wie erwähnt, vereinfacht ein Management-Tool das Überprüfen von Distributionen erheblich. Es automatisiert auch den Prozess für das Herunterladen und Installieren der Patches.
Patch-Management-Tools von Drittanbietern sind vor allem in Umgebungen mit mehreren verschiedenen Betriebssystemen und Distributionen von Vorteil. Neben den verschiedenen Linux-Distributionen in einem Unternehmen können einige dieser Tools auch gleich Windows- und macOS-Systeme patchen, so dass Sie im Idealfall nur ein zentrales Patch-Managementprogramm für alle Ihre Desktops verwenden müssen.
Testen und Prüfen von Patches vor dem Ausrollen
Unabhängig davon, welcher Mechanismus für das Patchen zum Einsatz kommt, ist es wichtig, dass es einen Patch-Managementplan gibt, der auch eingehalten wird. Eine der wichtigsten Komponenten eines solchen Plans sind Patch-Tests, sogenannte Audits. Das bedeutet normalerweise, dass man Patches erst auf einem nicht-unternehmenskritischen Linux-System, zum Beispiel in einer eigens dafür erstellen Virtuellen Maschine (VM), auf Probleme hin testet. Damit verhindern Administratoren, dass ein fehlerhafter Patch auf allen Linux-Distributionen im gesamten Unternehmen eingespielt wird.
Die Überprüfung der Patches ist ein weiterer wichtiger Punkt in einem Patch-Management-Plan. Es reicht nicht, dem Patch-Management-Tool zu vertrauen, dass es die Linux-Patches herunterlädt und installiert. Linux-Administratoren müssen überprüfen können, ob die Patches installiert wurden. Weiterhin müssen sie Systeme identifizieren können, die nicht auf dem neuesten Stand sind. Viele Patch-Management-Tools verfügen über diese Funktion. Ist dies nicht der Fall, sollten Admins mit einer zusätzlichen Lösung nachbessern.
